App Control for Business ポリシーの展開

App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。

これで、1 つ以上の App Control for Business ポリシーをデプロイする準備が整いました。 「アプリ コントロール デザイン ガイド」で説明されている手順をまだ完了していない場合は、先に進む前に今すぐ実行してください。

アプリ制御ポリシー XML をバイナリに変換する

アプリ制御ポリシーをデプロイする前に、まず XML をバイナリ 形式に変換する必要があります。 これを行うには、次の PowerShell の例を使用します。 アプリコントロール ポリシー XML ファイルを指す$AppControlPolicyXMLFile変数を設定する必要があります。

## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
    $PolicyID = $AppControlPolicy.SiPolicy.PolicyID
    $PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
    $PolicyBinary = "SiPolicy.p7b"
}

## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

デプロイを計画する

環境の大幅な変更と同様に、App Control を実装すると意図しない結果が生じることがあります。 成功の可能性を最大限に高めるために、安全なデプロイプラクティスに従い、デプロイを慎重に計画する必要があります。 App Control で管理するデバイスを特定し、展開リングに分割します。 これにより、デプロイの速度とスケールを制御し、問題が発生した場合に対応できます。 1 つのリングから次のリングに進んでも安全なタイミングを決定する成功条件を定義します。

適用に進む前に、すべての App Control for Business ポリシーの変更を監査モードで展開する必要があります。 ポリシーが展開されているデバイスからイベントを注意深く監視し、他の展開リングに展開を拡大する前に、想定に一致するブロック イベントを確認します。 organizationでMicrosoft Defender for Endpointを使用している場合は、高度なハンティング機能を使用して、アプリ コントロール関連のイベントを一元的に監視できます。 それ以外の場合は、イベント ログ転送ソリューションを使用して、マネージド エンドポイントから関連するイベントを収集することをお勧めします。

アプリ制御ポリシーをデプロイする方法を選択する

重要

既知の問題のため、メモリ整合性が有効になっているシステムで再起動を行い、新しい署名されたアプリコントロールベースポリシーを常にアクティブにする必要があります。 この場合 は、スクリプトを使用してデプロイ することをお勧めします。

この問題は、システムで既にアクティブになっている署名済みの基本ポリシー、署名されていないポリシーの展開、または補足ポリシーの展開 (署名済みまたは署名なし) の更新には影響しません。 また、メモリ整合性を実行していないシステムへのデプロイにも影響しません。

管理対象エンドポイントに App Control for Business ポリシーをデプロイするには、次のようないくつかのオプションがあります。